CRACKEO DE ENCRIPTACION WEP Y WPA

Parte 1 (Crackeo de encriptación WEP sin cliente

asociado)
Introducción
En este artículo vamos a aprender a romper la encriptación WEP, que todavía tienen
muchos routers inalámbricos como método de protección contra intrusiones y sniffing
de paquetes
La encriptación WEP es ya algo antigua, y está empezando a ser reemplazada por la
WPA/WPA2, que brinda una protección bastante más fuerte. Aun así, la mayoría de
los usuarios particulares y muchas empresas todavía la usan
El método para WEP que usaremos, es el de sniffar el trafico wifi de la red, asociarnos
e inyectar paquetes. Así, conseguiremos aumentar su tráfico, y cuando tengamos
ciertos Datas (paquetes) podremos poner el procesador a funcionar para crackear.
Lo vamos a hacer sin ningún cliente asociado, es decir, solo tú y tu contrincante el
router. De esta forma aprenderéis a ser lo más independientes posible.
AVISOS:
- He ocultado todas las MACs en las capturas, y cualquier dato que pueda ser una
violación de la privacidad hacia los puntos de acceso cercanos a mí, o a mí mismo.
- No me hago responsable de los daños que se puedan hacer usando este manual,
solo demuestro lo inseguro que es el cifrado WEP. Es con fines educativos, nunca
nocivos.

Materiales
Vamos a utilizar los siguientes materiales
- La distribución Linux llamada BackTrack en su version 3.0. Nos será de mucha
utilidad ya que tiene todo lo que necesitamos, incluidos los drivers wifi de muchísimas
tarjetas.
- La suite de programas Aircrack-ng, la cual podeis instalar en vuestra distribución
Linux desde los repositorios. Si usais alguna distribución orientada a la seguridad
(Como Backtrack) ya estará incluida. Aircrack tambien funciona en Windows, pero en
el manual vamos a usar Linux. Para usar Windows buscad otro manual.
- Un chipset wifi que soporte modo monitor, e inyeccion. (En nuestro caso un chipset
ZyDAS)
Desarrollo
Arrancamos Backtrack o el sistema que vayamos a usar, y comprobamos que
nuestras interfaces wifi estan preparadas.
Para ver las interfaces que teneis reconocidas, usamos el siguiente comando:
Código:
iwconfig
Necesitaremos tenerla en modo monitor para poder capturar tráfico que no va
destinado a nosotros. Las formas de ponerla en modo monitor son diversas según
nuestros drivers, pero si nuestra interfaz esta soportada por Aircrack-ng, podremos
ponerla en modo monitor con el siguiente comando:
A PARTIR DE AHORA TENEIS QUE CAMBIAR eth0 POR LA INTERFAZ QUE
VOSOTROS USAREIS
Código:
airmon-ng start eth0

Una vez tengamos hecho esto podemos empezar a capturar trafico, que guardaremos
para poder desencriptar la clave.
Hacemos con airodump lo siguiente, para elegir un objetivo a atacar:
Código:
airodump-ng eth0
Como veis, nos muestra las redes que tenemos al alcance. Elegimos una de ellas, y
empezaremos a capturar tráfico, con el que luego crackearemos.

Código:
airodump-ng --bssid 11:22:33:44:55:66 -c 8 -w archivosalida eth0

--bssid -> Sirve para poner un filtro, y sniffar solo el trafico de un router en concreto.
De esta forma solo se sniffara el trafico del router con la MAC 11:22:33:44:55:66
(nuestra victima)
-c -> Canal en el que se encuentra el router. No es imprescindible, pero si necesario
para poder luego asociarnos sin complicaciones.
-w -> Vuelca todo el trafico que capture a un archivo.
eth0 -> Nuestra interfaz
Para más ayuda escribid -> airodump-ng –help

Abrimos otra terminal

En la nueva terminal vamos a asociarnos (asociación de cliente falso) al router para

poder luego inyectar paquetes, y asi subir la frecuencia del trafico que necesitamos.
De esta forma podremos conseguir paquetes de forma mucho más rápida.
Para asociarnos usamos el siguiente comando:
Código:
aireplay-ng -1 20 -a 11:22:33:44:55:66 -h 66:55:44:33:22:11 eth0

-1 -> Especificamos el ataque del aireplay, ya que tiene varios modos de funcionar
20 -> El número de segundos que pasaran para que vuelva a asociarse. Nos
reasociamos para que el router no detecte que somos un cliente falso.
-a -> Es la MAC del router al que asociarnos (nuestra victima)
-h -> Es la MAC falsa que usaremos como cliente que se asocia. Recomiendo poner
11:22:33:44:55:66, que siempre suele funcionar. Algunos router no admiten MACs
inventadas. Si lo dejamos sin especificar, usara la MAC de nuestro dispositivo wifi.
eth0 -> Nuestra interfaz
Para más ayuda escribid -> aireplay-ng –help

Una vez nos hayamos asociado, pasamos al siguiente paso.

NOTA: Puede que el router tenga activado filtrado MAC, o tengamos poca cobertura, o
por algun motivo no nos acepte la asociacion. Si es asi, buscad algun metodo para
asociaros, de lo contrario, no podemos seguir.

Abrimos otra terminal

Ahora vamos a inyectar los paquetes.
Lo que vamos a inyectar son peticiones ARP, ya que son paquetes faciles de manejar,
y muy ligeros. Cuando empecemos a inyectar, veremos como en la terminal donde
tenemos el airodump-ng empiezan a subir los Datas.
Para inyectar ponemos el siguiente comando:
Código:
aireplay-ng -3 -b 11:22:33:44:55:66 -h 66:55:44:33:22:11 eth0
-3 -> Porque es el modo 3 del aireplay-ng (al igual que antes especificabamos el 1
para asociarnos)
-b -> Para definir la MAC del router al que inyectar (nuestra victima)
-h -> La MAC falsa que inyecta. Es imprescindible usar la MAC falsa con la que nos
hemos asociado, sino obviamente no funcionara. Si antes no definimos ninguna MAC,
es que estas asociado con la MAC real de tu dispositivo, por lo tanto no necesitas
definirla ahora tampoco.
Cuando lo pongamos nos saldrá algo asi:

En el momento en que los ARP requests empiecen a subir, es que estamos

inyectando. Advierto que al no tener un cliente asociado, podemos tardar desde 2
minutos a 2 días en empezar a inyectar. No se puede saber cuando el router
empezara a tragarse los paquetes
En el momento en que empiecen a subir, es que ya estamos inyectando. Si nos
ponemos en la terminal de captura del airodump-ng veremos como la columna de
Datas esta en continuo crecimiento =D

Perfecto, ya estamos inyectando paquetes, y cuando tengamos los que necesitemos

podremos crackear la WEP por medio de los algoritmos que Aircrack-ng nos da.

Abrimos otra terminal

En esta terminal vamos a empezar a usar la fuerza del procesador para poder
crackear. Vamos a dejarlo crackeando, aunque todavía tengamos pocos paquetes,
porque si con los pocos que tenemos no consigue sacar la clave, se espera
automáticamente a que tengamos mas, y vuelve a intentarlo.
Para crackear usamos el siguiente comando:
Código:
aircrack-ng -z archivosalida-01.cap
-z -> Es un algoritmo que hace el crackeo mucho mas rapido, y con menos paquetes.
Lo recomiendo siempre que usemos este metodo.
archivosalida-01.cap -> Es el archivo donde airodump-ng nos está guardando todo lo
que captura. ¿No os acordais? Lo hemos puesto cuando empezamos a sniffar tráfico
de nuestra victima con airodump-ng.
Una ayudita anda....
Para ver en que carpeta del sistema estais en la terminal:
Código:
pwd
Para ver los archivos que hay en donde estais:
Código:
ls
Asi os sera mas facil encontrar el archivo de captura.
Una vez hayamos crackeado, tendremos la clave en una pantalla como esta:

Las cantidades de Datas que necesitamos para crackear son muy muy relativas, y
mas con el algoritmo -z. Para que os hagais una idea, esta clave WEP ha caido con
56000 Datas.
Depende de si la clave es de 64/128 bits tardara mas o menos en crackear, y
necesitara mas o menos paquetes.
 Parte 2 (Crackeo de encriptación WPA)

Introducción
Tras haber aprendido a crackear claves WEP, vamos a pasar al siguiente nivel (WPA y
WPA2). La encriptacion WPA1/2 es más moderna que la WEP, y bastante más segura
en el momento en el que estoy escribiendo estas lineas.
Últimamente se están desarrollando métodos para crackear la encriptación de forma
mucho más rápida (aproximádamente 15 minutos), y se han descubierto nuevas
vulnerabilidades que permiten la inyección de paquetes en la red (esto se debe a que
está basada en la encriptación anterior, WEP). Esta vulnerabilidad se ha encontrado
en los paquetes QoS (Quality of service), pero de momento no voy a hablar más de
ella puesto que aún se esta desarrollando.
El método que usaremos es el clásico; Capturaremos el paquete de asociación entre
un cliente legítimo, y el router. En este paquete se encuentra la clave encriptada, que
intentaremos desencriptar mediante fuerza bruta (lo siento, pero no hay otra forma aún
conocida publicamente).
En el manual vamos a usar algo un poco más avanzado, que es (en caso de que ya
haya un cliente conectado) desasociar un cliente para que tenga que volver a
reconectar, y así conseguir el paquete. De la otra forma tendríamos que estar
capturando tráfico hasta que un cliente se conectara.
Como bien habréis deducido muchos, si no hay conexiones de clientes al router, es
imposible sacar la clave (al contrario que en WEP).

IMPORTANTE:
- Ya que el manual esta hecho para cuando hay un cliente, en el caso de que no
encontrárais ninguno conectado solo tendríais que esperar a que se conectara, y
automáticamente conseguiríais el paquete de asociación del que hablamos (a partir de
ahora lo llamaremos por su nombre, handshake).

AVISOS:
- He ocultado todas las MACs en las capturas, y cualquier dato que pueda ser una
violación de la privacidad hacia los puntos de acceso cercanos a mí, o a mi mismo.
- No me hago responsable de los daños que se puedan hacer usando este manual. Es
con fines educativos, nunca nocivos.
Materiales
Vamos a utilizar los siguientes materiales:
- La distribución Linux llamada BackTrack en su version 3.0. Nos será de mucha
utilidad ya que tiene todo lo que necesitamos, incluidos los drivers wifi de muchísimas
tarjetas.
- La suite de programas Aircrack-ng, la cual podeis instalar en vuestra distribución
Linux desde los repositorios. Si usais alguna distribución orientada a la seguridad
(Como Backtrack) ya estará incluida. Aircrack también funciona en Windows, pero en
el manual vamos a usar Linux. Para usar Windows buscad otro manual.
- Un chipset wifi que soporte modo monitor. (En nuestro caso un chipset ZyDAS)

Desarrollo
Arrancamos Backtrack o el sistema que vayamos a usar, y comprobamos que
nuestras interfaces wifi estan preparadas.
Para ver las interfaces que teneis reconocidas, usamos el siguiente comando:
Código:
iwconfig
Necesitaremos tenerla en modo monitor para poder capturar tráfico que no va
destinado a nosotros. Las formas de ponerla en modo monitor son diversas segun
nuestros drivers, pero si nuestra interfaz esta soportada por Aircrack-ng, podremos
ponerla en modo monitor con el siguiente comando:
A PARTIR DE AHORA TENEIS QUE CAMBIAR eth0 POR LA INTERFAZ QUE
VOSOTROS USAREIS
Código:
airmon-ng start eth0
Una vez tengamos hecho esto podemos empezar a capturar tráfico, que guardaremos
para poder desencriptar la clave.
Hacemos con airodump lo siguiente, para elegir un objetivo a atacar:
Código:
airodump-ng eth0

Ahi podeis ver algunas redes de las que tengo a mi alcance, y solo una con WPA (la
00:12: ...). Además vemos que tiene un cliente asociado, el cual vamos a suponer que
tiene la MAC 11:22:33:44:55:66.

Bien, pues vamos a ponernos a capturar el tráfico de ese único router. Es importante
que especifiquéis sniffar solo en su canal, puesto que si ponemos en todos podríamos
perder el handshake que tanto necesitamos.
Código:
airodump-ng --bssid 00:12:XX:XX:XX:XX -c 8 -w wpa-handshake eth0
--bssid -> Sirve para aplicar un filtro y capturar solo el tráfico de un router. De esta
forma capturará el trafico de nuestro objetivo, el router 00:12:XX:XX:XX:XX
-c -> Canal donde se encuentra el router
-w -> Vuelca todo el trafico que capture a un archivo, en el se encontrará nuestro
handshake
eth0 -> Nuestra interfaz
Para mas ayuda escribid -> airodump-ng –help

Abrimos otra terminal

En esta nueva terminal vamos a desasociar al cliente para forzarle a que vuelva a
conectarse, y así conseguir el handshake.
Lo haremos mediante el siguiente comando:
Código:
aireplay-ng -0 30 -a 00:12:XX:XX:XX:XX -c 11:22:33:44:55:66 eth0

-0 -> Es la opción del aireplay-ng para utilizar la desasociación.

30 -> El número de desasociaciones que queremos mandarle. Le mandaremos hasta
que consigamos el handshake. Si ponéis el numero 0 serán infinitas hasta que
vosotros lo paréis.
-a -> La MAC del router al que queremos mandar las desasociaciones
-c -> El cliente al que vamos a desasociar
eth0 -> Nuestra interfaz
Cuando esteis desasociando, os saldrán asi los paquetes de desasociación
Ahora es momento de fijarnos en la terminal en la que estábamos capturando el tráfico
para ver cuando hemos conseguido el handshake. Cuando lo consigamos nos saldrá
lo siguiente:

Bien, pues una vez conseguido el dichoso handshake nos toca la parte más dificil,
crackear mediante fuerza bruta la password. Para ello usaremos Aircrack-ng, y le
iremos pasando diccionarios hasta que alguna coincida con la clave que tiene el
router.
El comando para crackear es el siguiente
Código:
aircrack-ng -w "diccionario.lst" wpa-handshake-01.cap

-w -> Es el parámetro para especificar la ruta del diccionario que vamos a utilizar para
crackear. Si no estais localizados en el lugar donde esta el diccionario podeis poner la
ruta completa. Por ejemplo "/home/defc0n1/Desktop/diccionario.txt"
wpa-handshake-01.cap -> Pues evidentemente es el archivo donde estabamos
guardando el tráfico capturado.
Si habeis estado sniffando en varios canales, o algo así, y nos os pilla bien el objetivo
que hay que crackear teneis parámetros para fijar el paquete exacto al que qu ereis
atacar.
Podeis verlos en la ayuda del aircrack-ng -> aircrack-ng –help

Cuando Aircrack haya encontrado en el diccionario una clave que concuerde con la del
router, tendremos un maravilloso Key Found como este
Como veis, el crackeo de WPA se basa (a parte de en los conocimientos) en la suerte
que tengamos. Ya que hay circunstancias que se tienen que dar para poder llevarlo a
cabo, como que haya clientes en el router, y que la clave este en el diccionario.
En el caso de que querais crackear la clave de redes en las que esta predefinida
(como las nuevas Wlan, Speedtouch o Jazztel), os recomendaría buscar diccionarios o
tablas hash por google, o preguntar en foros especializados en el Hacking Wireless ya
que siempre suele haber recursos para estas redes que estan preinstaladas que nos
harán el crackeo mediante diccionario mucho mas facil.
Por otro lado, si con vuestros diccionarios y el Aircrack-ng no os ha funcionado, os
recomiendo guardar el archivo de captura (.cap) donde esta el handshake y probar con
otros programas. Yo os recomiendo Cain & Abel, ya que soporta mutaciones en los
diccionarios, lo que amplia muchísimo el rango de posibilidades. Me ha pasado alguna
vez que con el mismo diccionario en Aircrack-ng no lo he conseguido, y con Cain y las
mutaciones en el diccionario ha funcionado.
También hay programas que utilizan la fuerza de las tarjetas graficas Nvidia como es
el EWSA, pero para el crackeo de WPA aún están un poco verdes estos programas.
Por último, no me encargo de enseñar Password Cracking, si teneis dudas sobre el
tema porfavor usad el buscador o preguntad en la sección adecuada.
Espero que hayais aprendido tanto a "blindar" vuestra red, como haberos concienciado
de que el Hacking Wireless es un concepto que existe, y puede acarrerar grandes
riesgos.